供应链安全-镜像 Trivy kubesec

已于 2024-01-09 14:31:07 修改
阅读量1.1k 收藏 22
点赞数 23
分类专栏: kubernetes 文章标签: kubernetes 云原生 运维 安全
于 2024-01-09 11:05:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48297181/article/details/135465464
版权

开头语

写在前面:如有问题,以你为准,

目前24年应届生,各位大佬轻喷,部分资料与图片来自网络

内容较长,页面右上角目录方便跳转

Dockerfile 文件优化

  • 减少镜像层:一次RUN指令形成新的一层,尽量Shll命令都写在一行,减少镜像层。
  • 多阶段构建: 多阶段构建能够帮助我们大幅减少最终镜像的大小,而无需费力减少中间层和文件的数量
  • 清理无用文件:清理对应的残留数据,例如yu缓存。
  • 清理无用的软件包:基础镜像默认会带一些dbug工具,可以删除掉,仅保留应用程序所需软件,防止黑客利用。
  • 利用构建缓存: 构建镜像时,Docker 会逐步执行 Dockerfile 中的指令,并按照指定的顺序执行每个指令。在检查每条指令时,Docker 会在其缓存中查找可以重用的现有镜像,而不是创建新的(重复)镜像
  • 选择最小的基础镜像:例如alpine
  • 使用非root用户运行:USER指令指定普通用户

减少镜像层

可以通过下面查看镜像层构建

[root@master gvisor]# docker history busybox:1.30
IMAGE          CREATED       CREATED BY                                      SIZE      COMMENT
64f5d945efcc   4 years ago   /bin/sh -c #(nop)  CMD ["sh"]                   0B
<missing>      4 years ago   /bin/sh -c #(nop) ADD file:e36dd1822f36a8169…   1.2MB

每跑一次RUN指令都是会导致多一层,所以尽量将多个要执行命令写在一个RUN里面

# 第一种方式
RUN ls && mkdir test && cd test
# 第二种方式
RUN ls && \
  mkdir test && \
  cd test

清理无用数据

可以构建镜像是加上如下命令

yum clean all && rm -rf /var/cache/yum/*

Trivy 镜像漏洞扫描工具

Trivy: 是一种用于容器镜像、文件系统、Git仓库的漏洞扫描工具。发现目标软件存在的漏洞。

Trivy: 易于使用,只需安装二进制文件即可进行扫描,方便集成CI系统。

https://github.com/aquasecurity/trivy
  • ArtifactDeatil 结构和 各类Analyzer 实现
  • trivy-db 的软件包漏洞列表
  • defsec 的配置检测规则

这些资源都可以活用于镜像安全的各类实施上。下面的源码分析内容建议结合 trivy 源码阅读,可以更好地理解一些细节

实操示例

[root@master images-security]# trivy image nginx:1.17.1
2023-11-14T02:26:55.898-0500    INFO    Need to update DB
2023-11-14T02:26:55.898-0500    INFO    DB Repository: ghcr.io/aquasecurity/trivy-db
2023-11-14T02:26:55.898-0500    INFO    Downloading DB...
1.01 MiB / 40.75 MiB [->______________________________________________________________________] 2.48% 435.31 KiB p/s ETA 1m33s
# 正在下载数据库,会因为网络问题下载不了
# trivy image --download-db-only 仅下载漏洞数据库
# trivy image nginx:1.17.1 --skip-db-update 跳过数据库下载,但是第一次不给跳过
# ERROR   The first run cannot skip downloading DB

Trivy 默认是每隔十二个小时就会更新一次漏洞库,离线情况下或者网络不好时可能就会更新失败;如果你想要获取最新的漏洞库就可以用这种方法手动去更新一下

漏洞数据库分为两个版本

version1 :有时候漏洞库真的下不下来 - 简书

Releases · aquasecurity/trivy-db · GitHub

version2:镜像安全扫描工具Trivy深入实践 - 知乎

Package trivy-db · GitHub

通过国外机器来下载

mkdir db
trivy --cache-dir ./db image --download-db-only
tar -cf ./db.tar.gz -C ./db/db metadata.json trivy.db

通过winscp或者软件拿到本地 /root/.cache/trivy

[root@master trivy]# tree
.
├── db
│   ├── metadata.json
│   └── trivy.db
├── fanal
│   └── fanal.db
└── java-db
    ├── metadata.json
    └── trivy-java.db

db等文件详细解析:镜像安全扫描工具Trivy深入实践 - 知乎

漏洞检测

[root@master trivy]# trivy image nginx:1.17.1 --skip-db-update --skip-java-db-update
2023-11-15T02:10:00.448-0500    INFO    Vulnerability scanning is enabled
2023-11-15T02:10:00.448-0500    INFO    Secret scanning is enabled
2023-11-15T02:10:00.448-0500    INFO    If your scanning is slow, please try '--scanners vuln' to disable secret scanning
2023-11-15T02:10:00.448-0500    INFO    Please see also https://aquasecurity.github.io/trivy/v0.46/docs/scanner/secret/#recommendation for faster secret detection
2023-11-15T02:10:26.595-0500    INFO    Detected OS: debian
2023-11-15T02:10:26.595-0500    INFO    Detecting Debian vulnerabilities...
2023-11-15T02:10:26.625-0500    INFO    Number of language-specific files: 0
2023-11-15T02:10:26.685-0500    WARN    This OS version is no longer supported by the distribution: debian 9.9
2023-11-15T02:10:26.685-0500    WARN    The vulnerability detection may be insufficient because security updates are not provided

nginx:1.17.1 (debian 9.9)

Total: 204 (UNKNOWN: 7, LOW: 40, MEDIUM: 52, HIGH: 74, CRITICAL: 31)

┌────────────────────────┬──────────────────┬──────────┬──────────────┬────────────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐
│        Library         │  Vulnerability   │ Severity │    Status    │   Installed Version    │     Fixed Version      │                            Title                             │
├────────────────────────┼──────────────────┼──────────┼──────────────┼────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ apt                    │ CVE-2020-27350   │ MEDIUM   │ fixed        │ 1.4.9                  │ 1.4.11                 │ apt: integer overflows and underflows while parsing .deb     │
│                        │                  │          │              │                        │                        │ packages                                                     │
│                        │                  │          │              │                        │                        │ https://avd.aquasec.com/nvd/cve-2020-27350                   │
│                        ├──────────────────┤          │              │                        ├────────────────────────┼──────────────────────────────────────────────────────────────┤
│                        │ CVE-2020-3810    │          │              │                        │ 1.4.10                 │ Missing input validation in the ar/tar implementations of    │
│                        │                  │          │              │                        │                        │ APT before v ......                                          │
│                        │                  │          │              │                        │                        │ https://avd.aquasec.com/nvd/cve-2020-3810                    │

漏洞解析

CVE-2016-2779 漏洞编号(可以进行通过编号去修复漏洞)

HIGH 级别

1:2.29.2-1+deb9u1 目前的版本

Title 其中网址打开就是漏洞介绍和修复方式

常用命令

# 跳过拉取漏洞数据库
--skip-update=true
# 查看命令帮助
trivy -h
# 容器镜像扫描
trivy image nginx
trivy image -i nginx.tar
# 打印指定 (高危,严重)
trivy image -s HIGH,nginx
trivy image -s HIGH,CRITICAL nginx
# JSON 格式输出并保存到文件
trivy image nginx -f json -o ./output.json


trivy image nginx:1.18.0
trivy image --severity CRITICAL nginx:1.18.0
trivy image --severity CRITICAL, HIGH nginx:1.18.0
trivy image --ignore-unfixed nginx:1.18.0

# Scanning image tarball
docker save nginx:1.18.0 > nginx.tar
trivy image --input archive.tar

# Scan and output results to file
trivy image --output python_alpine.txt python:3.10.0a4-alpine
trivy image --severity HIGH --output /root/python.txt python:3.10.0a4-alpine

# Scan image tarball
trivy image --input alpine.tar --format json --output /root/alpine.json

kubesec 检测yaml文件安全配置

kubesec:是一个针对K8s资源清单文件进行安全配置评估的工具,根据安全配置

https://kubesec.io/ 
https://github.com/controlplaneio/kubesec

注:因为网络问题,所以手动下载检测文件

通过容器更方便,避免网络问题

命令示例

kubesec scan -h
# --schema-location 是本地json检测文件
主要是因为网络问题,所以建议自行下载后通过这个参数指定
[root@master kubesec]# kubesec scan deploy.yaml --schema-location deployment-apps-v1.json
[
  {
    "object": "Deployment/web.default",
    "valid": true,
    "fileName": "deploy.yaml",
    "message": "Passed with a score of 0 points",
    "score": 0,
    "scoring": {
      "advise": [
        {
          "id": "ApparmorAny",
          "selector": ".metadata .annotations .\"container.apparmor.security.beta.kubernetes.io/nginx\"",
          "reason": "Well defined AppArmor policies may provide greater protection from unknown threats. WARNING: NOT PRODUCTION READY",
          "points": 3
        },
        {
          "id": "ServiceAccountName",
          "selector": ".spec .serviceAccountName",
          "reason": "Service accounts restrict Kubernetes API access and should be configured with least privilege",
          "points": 3
        },

上图就是让你配置apparmor 和 SA

通过容器调用检测

开启一个容器,并将本地要检测的yaml传入返回结果

[root@master opa]# docker run -d -p 8080:8080 kubesec/kubesec http 8080
Unable to find image 'kubesec/kubesec:latest' locally
latest: Pulling from kubesec/kubesec
5843afab3874: Pull complete
0e12e15a6490: Pull complete
5a1816831e29: Pull complete
0e871d09ee04: Pull complete
c94217ef84fb: Pull complete
9412ea52a867: Pull complete
Digest: sha256:e8b73f2f8fd00508c0c7523600c43fe79300692b0a1f6f4eaf9cf1c1f341cb35
Status: Downloaded newer image for kubesec/kubesec:latest
b9d416dd87d7d738bdaf905faab99ad796bfa7210f01ed7b12dda731d2935bb1

curl -sSX POST --data-binary @deploy.yaml http://0.0.0.0:8080/scan

@deploy.yaml 为当前目录下的要检测的yaml文件

网络问题

185.199.111.133 raw.githubusercontent.com
[root@master kubesec]# kubectl create deploy web --image=nginx --dry-run=client -o yaml > deploy.yaml
[root@master kubesec]# kubesec scan deploy.yaml
[
  {
    "object": "Deployment/web.default",
    "valid": false,
    "fileName": "deploy.yaml",
    "message": "failed downloading schema at https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/master-standalone-strict/deployment-apps-v1.json: Get \"https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/master-standalone-strict/deployment-apps-v1.json\": dial tcp 0.0.0.0:443: connect: connection refused",
    "score": 0,
    "scoring": {}
  }
]

wget https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/master-standalone-strict/deployment-apps-v1.json

 kubesec scan deploy.yaml --schema-location deployment-apps-v1.json

sxpnp
关注
  • 23
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker 常用镜像下载: jdk8-alpine3.9
06-01
加载镜像:docker load -i jdk8.tar
MS-DOS.6.22.软盘镜像
08-11
MS-DOS.6.22.软盘镜像
供应链安全-镜像 Trivy kubesec_the first run cannot skip downloading db(1)
m0_60607971的博客
04-09 1099
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 764
任务环境说明:服务器场景:Server1。
Trivy离线扫描:容器安全实践指南
最新发布
Innocence_0的博客
06-08 1132
Trivy 是一款全面多功能的安全扫描器。Trivy具有寻找安全问题和目标的扫描器。现已经被 Github Action、Harbor等主流工具集成,Trivy支持大多数流行的编程语言、操作系统和平台的扫描,应该是该领域目前目前采用最广的开源工具之一了。项目地址: https://github.com/aquasecurity/trivy最新版本:V0.49.1官方文档:https://aquasecurity.github.io/trivy/v0.49/
C++-基础(2)
2401_84253132的博客
04-26 233
C++14:C++14 标准于 2014 年发布,是对 C++11 的一些小的改进和修订,没有引入大规模的新功能,但对现有功能做了一些优化和改进。​C++17:C++17 标准于 2017 年发布,引入了一些新特性和改进,如结构化绑定、折叠表达式、并行算法、文件系统库等,进一步提高了 C++ 的现代化程度。​C++20:C++20于 2020 年发布。它引入了许多新特性,包括概念、范围 for 循环、三向比较运算符、协程、模块化等,进一步丰富了 C++ 语言的功能。​。
Harbor2.2.1配置(trivy扫描器、镜像签名)
weixin_38299404的博客
05-08 4390
Haobor2.2.1配置(trivy扫描器、镜像签名) docker-compose下载 https://github.com/docker/compose/releases 安装 cp docker-compose /usr/local/bin chmod +x /usr/local/bin/docker-compose harbor下载 https://github.com/goharbor/harbor/releases 解压 tar xf xxx.tgx 配置harbor 根下建立:mkd
Harbor+Trivy实现镜像漏洞扫描
逗小豆zz的博客
10-05 876
在漏洞列表中可以看到包含风险的组件和版本信息,以及该漏洞的修复版本。使用oras命令获取离线扫描数据库,该过程可能耗时很长。设置扫描镜像时跳过更新漏洞库,以离线方式进行扫描。扫描完成后将以表格形式输出镜像包含的漏洞信息。扫描结束后可以查看漏洞数量和漏洞分布。是harbor存放数据的根目录,在。压缩文件,将这两个文件分别复制到。参数同时安装trivy组件。该命令仅下载离线库文件缓存在。安装Harbor时,指定。选择要扫描的镜像,在。
gitlab-ce镜像和registry镜像.rar
11-15
这个的使用方法见这篇博客:https://cuichongxin.blog.csdn.net/article/details/121221922
EVE-NG镜像列表.xlsx
03-05
EVE-NG镜像列表.xlsx
nfs-subdir-external-provisioner:v4.0.2 镜像文件
05-26
nfs-subdir-external-provisioner:v4.0.2 镜像文件
(almalinux,rockylinux,openeuler,openanolis,centos,ubuntu)云原生容器镜像漏洞trivy扫描对比
qyq88888的专栏
01-11 1342
trivy 云原生镜像漏洞扫描对比
供应链安全-镜像 Trivy kubesec_the first run cannot skip downloading db
2303_79055586的博客
04-11 930
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
mysql 启动报错
weixin_30580943的博客
12-13 111
在dos 命令 行里 输入 net start mysql ----- 拒绝访问 原因是 权限不够 要以管理员身份 进入 才能启动。 转载于:https://www.cnblogs.com/xiaowazi/p/10112971.html...
启动MySQL时报错
weixin_34326429的博客
12-24 135
今天编译安装MySQL在启动时,报如下错误:StartingMySQL.......................ERROR!TheserverquitwithoutupdatingPIDfile(/usr/local/mysql/data/k8s-1.pid)解决方法1、查看/usr/local/mysql/data/mysql.pid文件有没有写的...
Could not load database driver: SparkEngineSpec问题解决
m824673408的博客
03-09 1591
Superset连接SparkSQL时报错,根据官方提示安装pyhive也没用。 使用 pip install pyhs2 解决。 问题原因暂时没有查明,但是有可能与SparkSQL底层使用的是HiveServer2有关。
高危漏洞通告 BIND最新漏洞将导致DoS攻击 绿盟科技发布预警通告
weixin_33743880的博客
09-01 485
上个月,流行DNS软件BIND中的一个严重DoS漏洞(CVE-2016-2776)得到了修补,但是该漏洞已经被广泛利用,用以摧毁系统。绿盟科技发布高危漏洞预警通告,这意味着该漏洞影响范围比较广,危害严重,利用难度较低,7*24小时内部应急跟踪,24小时内完成技术分析、产品升级和防护方案。 该漏洞由互联网系统联盟(ISC)发现并以CVE-2016-27...
CVE-2016-1000031 Apache Commons FileUpload 反序列化漏洞深入分析
热门推荐
沧海一粟
02-20 1万+
反序列化漏洞最近一直不得安宁,先有Apache Commons Collections通过反序列化实现远程代码执行,再有Spring RMI 反序列化漏洞,最新又有了common upload file的反序列化漏洞CVE-2016-1000031(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000031) 漏洞原因 先来看
云原生安全:左移策略与镜像风险
同样,2017年的CCleaner事件和WireXAndroid僵尸网络也表明,软件供应链安全漏洞可以导致大规模的网络攻击。 为了抵御这些威胁,企业需要实施严格的安全策略,包括: - 定期扫描和更新镜像,确保使用的都是安全的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值